ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO EN INFORMATICA UNIDAD No. 5 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO EN INFORMATICA

Control Interno - Definición- El Control Interno conforme COSO “es un proceso integrado a los procesos, y no un conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos incluidos en las siguientes categorías: Eficacia y eficiencia de las operaciones (salvaguarda de activos). Confiabilidad de la información financiera. Cumplimiento de las leyes, reglamentos y políticas». Cumplimiento de los planes estrategicos

Definición del Control Interno Para Qué? En qué Nivel? Qué? Control Interno Proceso efectuado por la Dirección, la alta Gerencia y el resto del personal Proporcionar un grado de seguridad razonable en cuanto a la consecución de los Objetivos Eficacia y eficiencia de las operaciones Confiabilidad de la Información Financiera Cumplimiento de las Leyes y normas establecidas Cumplimiento de planes estratégicos Eficacia

OBJETIVOS ESTRATÉGICOS OBJETIVOS DIVISIONES PROCESOS Aspectos a considerar Es un proceso: No es un hecho aislado, es un conjunto de actividades realizadas de forma continua Resulta efectivo cuando está integrado en la estructura y cultura de la entidad Aplicado al definir la estrategia: VISIÓN Y MISIÓN OBJETIVOS ESTRATÉGICOS OBJETIVOS DE NEGOCIO RIESGOS OBJETIVOS DIVISIONES PROCESOS

ASPECTOS IMPLÍCITOS EN LA DEFINICIÓN DE CONTROL INTERNO CI LO LLEVAN A CABO LAS PERSONAS CI ES UN PROCESO CONTROL INTERNO CI FACILITA LA CONSECUCIÓN DE OBJETIVOS CI SÓLO PUEDE APORTAR UN GRADO RAZONABLE DE SEGURIDAD

Aspectos a considerar Al referirse al control interno como un proceso, se hace referencia a una cadena de acciones extendida a todas las actividades, inherentes a la gestión e integrados a los demás procesos básicos de la misma: planificación, ejecución y supervisión. Tales acciones se hallan incorporadas (no añadidas) a la infraestructura de la entidad, para influir en el cumplimiento de sus objetivos y apoyar sus iniciativas de calidad.

DEFINICIÓN C.I.–elementos- Como proceso... * El control interno es un proceso, es decir, un medio para alcanzar un fin y no un fin en sí mismo. * No es un evento o circunstancia sino una serie de acciones que permean en las actividades de una organización. * Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos básicos de la misma: planificación, ejecución y supervisión. * Los controles deben constituirse “dentro” de la infraestructura de la Organización y no “sobre ella”.

DEFINICIÓN C.I. –elementos- Es llevado a cabo por la Dirección y el resto del personal... * Lo llevan a cabo las personas que actúan en todos los niveles, no se trata solamente de manuales de organización y procedimientos. Cada individuo dentro de la Organización tiene algún rol respecto al control interno. * Es ejecutado por la gente de una Organización a través de lo que ellos hacen y dicen. La gente diseña los objetivos de la entidad y establece los mecanismos de control. * La Dirección es responsable de la existencia de un eficaz y eficiente sistema de control. Aunque los directores tienen como obligación primaria la vigilancia del control, también proporcionan directrices y aprueban ciertas transacciones y políticas.

DEFINICIÓN c.i. –elementos- Proporciona una seguridad razonable... * Sólo puede aportar un grado de seguridad razonable, no la seguridad total, a la conducción. * No asegura con certeza el cumplimiento de los objetivos de la Organización, sino que contribuye a ello. * No importa lo bien diseñado que esté el sistema de control, lo más que se puede esperar es que proporcione una seguridad razonable.

DEFINICIÓN C.I. –elementos- Eficacia del Sistema de Control Interno La eficacia del control interno se puede dar en tres niveles distintos. * Dispone de la información adecuada sobre hasta qué punto se están logrando los objetivos operacionales de la Unidad. * Se prepara de forma fiable la información financiera de la misma. * Se cumplen las leyes y normativa a las que se encuentra sujeta. Si bien el control interno es un proceso, su eficacia es el estado o la situación del proceso en un momento dado. *Está pensado para facilitar la consecución de objetivos ESTRATEGICOS en una o más de las categorías señaladas las que, al mismo tiempo, suelen tener puntos en común.

Metodos de Evaluación del C.I. La evaluación del control interno se puede realizar mediante: Descripciones narrativas Cuestionarios especiales Diagramas de flujo

La administración de riesgos Es uno de los nuevos vocablos que han emergido en el ambiente empresarial durante los últimos años, esto significa la aplicación de metodologías de gestión de riesgo en todos los aspectos del negocio, incluyendo la creación de ganancias, así como la prevención de pérdidas. Es en una herramienta que ayuda en el proceso de toma de decisiones. No sólo convierte la incertidumbre en oportunidad, sino que evita el suicidio financiero y catástrofes de graves consecuencias.

Eventos, Riesgos y Oportunidades “Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta la consecución de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez. Se dice o se define el riesgo: como la posibilidad de que un evento ocurra y que provocará que se afecte negativamente el logro de los objetivos que se han establecido.”

Eventos, Riesgos y Oportunidades Los eventos pueden tener un impacto negativo o positivo en la consecución de los objetivos, o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que puedan impedir creación de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creación de valor o a su conservación. La dirección canaliza las oportunidades que surgen, para que reinviertan en la estrategia y el proceso de definición de objetivos y formula planes que permitan aprovecharlas.

QUÉ ES RIESGO? Es la probabilidad de que un impacto adverso afecte los resultados o el capital de nuestra empresa. El Riesgo se mide en términos de impacto y probabilidad.

Probabilidad de ocurrencia. Impacto de las consecuencias potenciales. Consecuencia (s) de un evento, expresado ya sea en términos cualitativos o cuantitativos. También es llamado Severidad. PROBABILIDAD: La posibilidad de la ocurrencia de un evento que usualmente es aproximada mediante una distribución estadística. En ausencia de información suficiente, se puede aproximar mediante métodos cualitativos.

El riesgo comienza con la formulación de estrategias y definición de objetivos. El riesgo no representa una situación puntual única (por ejemplo, el resultado más probable). Sino más bien, una gama de resultados posibles. Los riesgos pueden estar relacionados con el hecho de evitar que sucedan cosas negativas o pueden garantizar que ocurran eventos positivos. Los riesgos son inherentes a todos los aspectos de la vida; es decir, siempre hay incertidumbre, hay uno o más riesgos.

Marcos de Control (Estándares Internacionales) para la Evaluación del Control Interno en el Mundo KING Sudáfrica Cadbury Gran Bretaña Co. Co. Canadá COSO USA** Vienot Francia Peters Holanda ** El marco COSO ha sido adoptado en los EE.UU, por el Banco Mundial y otros organismos financieros a través del mundo.

El informe COSO COSO: COmmittee of Sponsoring Organizations of the Treadway Commission) El Sistema Integrado de Control Interno, es un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. Surge como una forma de solucionar la diversidad de conceptos, definiciones e interpretaciones existentes en torno al control interno.

Formada por cinco organizaciones: Financial Executives International Institute of Internal Auditors American Institute of Certified Public Accountants Institute of Management Accountants American Accounting Association Reconocido como el estándar internacional para un marco integrado de control interno

El Informe COSO Existen en la actualidad 3 versiones del Informe COSO. La versión del 1992: COSO I : Marco Integrado de Control Interno La versión del 2004: COSO II ERM –Enterprise Risk Managment: Gestión Integral de Riesgos Julio de 2006: COSO III: Control Interno sobre el Reporte Financiero- Guía para empresas pequeñas públicas

Componentes del COSO-ERM 14/04/2017 Objetivo Nuevo Componente Ampliado Componente Ampliado Componente Ampliado Nuevo Componente Componente Ampliado Nuevo Componente Nuevo Componente Componente Ampliado Considera las actividades de todos los niveles de la organización

Definición de ERM Es un proceso dinámico Realizado por personas Aplicado como parte de un establecimiento de estrategias Aplicado a través de toda la empresa Diseñado y enfocado a identificar eventos, no solamente riesgos Diseñado para mantener acciones y administrar riesgo dentro del apetito de riesgo Proporciona seguridad razonable a la Dirección y Junta Directiva Enfoque: El logro de objetivos

Beneficios de COSO ERM Proporciona un marco integral del control interno y herramientas de valuación para evaluar el sistema de control Alinea el apetito de riesgo con la estrategia corporativa Proporciona respuestas integradas a los múltiples riesgos Mejora el nivel de las respuestas al riesgo Reduce la posibilidad de sorpresas y pérdidas Identifica y administra los riesgos a nivel corporativo Prepara a la empresa para tomar ventaja de las oportunidades Ayuda a mejorar el uso del capital disponible

Componentes Claves del ERM Ambiente de Control Establecimiento de objetivos Identificación de eventos Evaluación de Riesgos Respuestas al Riesgo Actividades de Control Información y Comunicación Monitoreo

Aspectos Básicos a cubrir en la Evaluación del Control Interno Informático

1. ORGANIZACIÓN DEL DEPARTAMENTO ASPECTOS A CUBRIR 1.1 Diagrama de organización 1.2 Presupuesto de personal 1.3 Diagrama de configuración del sistema 1.4 Control sobre paquetes de software 1.5 Existencia de: - Contratos con los proveedores - Definición de características técnicas 1.6 Existencia de reporte de todos los programas y aplicaciones en uso.

2. SEGUROS, CONTRATOS, MANTENIMIENTO Y FIANZAS. ASPECTOS A CUBRIR 2. 1 Pólizas de seguros Equipos Programas Medios de almacenamiento 2.2 Riesgos cubiertos 2.3 Vigencia de seguros 2.4 Contratos de proveedores Condiciones de uso del equipo Uso de tiempo CPU Uso de paquetes Respaldo y garantía ofrecida Soporte técnico 2.5 Servicios de mantenimiento 2.6 Fianzas de fidelidad

3. MANUALES DE ORGANIZACIÓN ASPECTOS A CUBRIR 3.1 Existencia de manuales de normas y procedimientos - Para cada puesto del centro de procesamiento. 3.2 Separación de funciones entre: Operación del computador. Análisis Programación 3.3 Accesos restringidos a los programadores para operar el sistema. 3.4 Acceso restringido a operadores del computador a: Datos Diseño de archivos Diseño de registros

4. POLITICAS DE SEGURIDAD ASPECTOS A CUBRIR 4.1 Existencia de planes de contingencia. 4.2 Convenios de respaldo de equipos. 4.3 Instrucciones para usos de locales alternos 4.4 Conocimiento con indicación de archivos críticos. 4.5 Prioridades para recuperación de registros. 4.6 Existencia fuera del centro de: Programas fuentes Copias actualizadas de los principales archivos Copias del sistema operativo Procedimientos de programas operativos Planes de contingencia Documentación de programas. 4.7 Políticas de respaldo 4.8 Contraseña para operar el sistema 4.9 Existencia documentada de investigación de procesos.

5. SISTEMAS Y MEDIDAS DE SEGURIDAD ASPECTOS A CUBRIR 5.1 Procedimientos escritos del sistema de seguridad. 5.2 Localización del centro 5.3 Acceso al centro 5.4 Construcción del edificio 5.5 Registro para el ingreso de personas 5.6 Uso de gafetes de identificación 5.7 Vigilancias y alarmas 5.8 Dispositivos para detectar: calor, fuego, y humo, imanes 5.9 Existencia de extinguidores 5.10 Estado de equipo de aire acondicionado 5.11 Localización de cables de electricidad e interruptores 5.12 Entrenamiento de personal para atender emergencias 5.13 Otros.

6. PROGRAMAS DE CAPACITACION ASPECTOS A CUBRIR 6.1 Plan de capacitación constante para el personal 6.2 Registro de adiestramiento que se ha dado a cada persona. 6.3 Programas de rotación de funciones 6.4 Control sobre trabajo y desempeño del personal.

7. RECEPCION DE TRABAJOS ASPECTOS A CUBRIR 7.1 Que la recepción de trabajo se efectúe en base a: Ordenes de trabajo Registros adecuados Volantes. 7.2 Comprobar que los registros de recepción contengan: Hora de recepción. Número correlativo de orden de trabajo Descripción del trabajo Copias en que solicita el reporte. 7.3 Existencia de cifras de control 7.4 Persona autorizada para entregar trabajos

8. CONTROL DE CALIDAD ASPECTOS A CUBRIR 8.1 Cotejo de totales entrada/salida 8.2 Verificación de listados de errores o inconsistencias 8.3 Estadísticas por aplicación de errores detectados 8.4 Norma sobre la calidad de impresión exactitud de los datos 8.5 Número de copias de los reportes (autorizadas)

9. DESPACHO DE TRABAJOS ASPECTOS A CUBRIR 9.1 Directorio de usuarios 9.2 Lista de usuarios autorizados para retirar información 9.3 Controles sobre el envío de reportes 9.4 Chequeos para asegurar que el reporte producido corresponda con el solicitado 9.5 Control sobre las ordenes de trabajo no retiradas 9.6 Protección de la información previo entrega al usuario

10. CAPTURA DE DATOS ASPECTOS A CUBRIR 10.1 Forma de recepción de los trabajos 10.2 Criterios para asignar tareas Experiencia del personal en determinados trabajos Cargas de trabajo Grado de dificultad de trabajo 10.3 Formas de reportar los errores detectados en la captura 10.4 Protección de documentos fuente 10.5 Supervisión del personal

11. PROCESO DE DATOS ASPECTOS A CUBRIR 11.1 Formas de controlar las órdenes de trabajo 11.2 Existencias de los manuales de operación de cada aplicación 11.3 Reportes de tiempos utilizados 11.4 Registros del mantenimiento de equipos

12. CINTOTECA ASPECTOS A CUBRIR 12.1 Accesos a la cintoteca Cintas Control sobre el contenido de cada archivo Uso de etiquetas internas Existencia de un registro de todos los dispositivos de almacenamiento Directorios del contenido de archivos Procedimientos de control sobre: Cintas Discos Otros Control sobre: Antigüedad, condiciones de uso y estado de los dispositivos de almacenamiento. Control sobre el préstamo de dispositivos de almacenamiento.

Informático por cada area. Tarea: Elabore en grupo la aplicación de los tres métodos de evaluación del Control Interno Informático por cada area.